Om het leven van IT-beheerders eenvoudiger te maken, is IAM ontwikkeld. Met Identity & Access Management kunnen bedrijven instellen dat werknemers op basis van functie en locatie automatisch toegang krijgen tot de juiste applicaties. Als de functie wordt veranderd, krijgt de werknemer op het juiste moment de rechten van de nieuwe functie. Daarnaast worden de oude rechten ingetrokken. En als de medewerker ontslag neemt, wordt de toegang automatisch afgesloten en alles opgeruimd. Overzichtelijk, tijdbesparend én veilig dus.
Omdat elke organisatie werknemers in dienst heeft die meer rechten hebben dan anderen (we are all equal, but some are more equal than others) is het belangrijk deze groep extra in de gaten te houden. Niet omdat ze kwaadwillend zijn, wel omdat ze een extra risico vormen. De werknemers die bevoorrechte accounttoegang hebben, kunnen door het inzetten van PAM beter gemonitord en beschermd worden. Maar wat is PAM?
Privileged A… Management
De term ‘PAM’ wordt op een verschillende manieren uitgelegd. Over de ‘P’ en ‘M’ is iedereen het wel eens, namelijk: ‘Privileged’ en ‘Management’. Maar de waarde en betekenis van de ‘A’ wil nogal eens verschillen: ‘Account’, ‘Access’ of ‘Authorisation’. Deze betekenissen zijn logisch en kloppen allemaal. Organisaties die PAM willen inzetten zouden, voordat ze een dure oplossing aanschaffen, eerst moeten kijken naar waar de zij behoefte aan heeft en waar haar risico’s liggen. Want de ene PAM is de andere niet.
Het idee van PAM
PAM zorgt voor een aantal zaken, met name:
- Het toekennen van rechten welke een hoog risico kennen op het moment dat deze voor een bepaalde taak noodzakelijk zijn en het intrekken als de taak is uitgevoerd.
- Het vastleggen van de reden van deze uitgifte, zodat achteraf te achterhalen is waarom het recht is uitgegeven en wie dat heeft geautoriseerd.
- Het vastleggen van transacties die uitgevoerd zijn, zodat achteraf te achterhalen is wie wat wanneer gedaan heeft.
Doordat gebruiker zich telkens terdege bewust is dat er gebruik wordt gemaakt van een risico-recht en hij weet dat achteraf te achterhalen is wat ermee is gedaan verhoogd dit de informatieveiligheid. Het gebruik van autorisaties wordt op deze wijze strikt bewaakt, waardoor het mogelijk is direct inzicht te krijgen in misbruik.
PUM, PIM en PRM
Er zijn in grote lijnen drie manieren waarop je naar PAM kan kijken:
- PUM – Privileged User Management
- PIM – Privileged Identity Management en
- PRM – Privileged Rights Management.
- PUM : Privileged User Management richt zich op de personen die door hun privileges een verhoogd hoge risico voor de organisatie betekenen. Dit kan zijn omdat deze personen (privileged users, PU’s) veel rechten hebben of een combinatie van rechten die elk op zich niet risicovol zijn, maar gezamenlijk wel. Een goed voorbeeld hiervan is Nick Leeson, die door een combinatie van ogenschijnlijk onschuldige rechten in staat was een bank ten val te brengen.
- PIM : Privileged Identity Management richt zich op digitale identiteiten, veelal accounts, met hoge rechten (Privileged Identities, PI’s). Meest voorkomende voorbeeld hiervan zin de beheeraccounts. Deze hebben in zich vele risicovolle autorisaties gecombineerd.
Andere PI’s
Andere PI’s die niet moeten worden vergeten zijn functionele systeemaccounts; de accounts die onderling tussen systemen worden gebruikt en leveranciersaccounts; identiteiten die door externe beheerpartijen worden gebruikt om toegang te krijgen tot hun beheerobjecten.
- PRM : Privileged Rights Management zou beter Privileged Authorisation Management heten, maar dan komt die verwarrende ‘A’ weer terug. PRM richt zich op de autorisaties in applicaties die een hoog risico met zich mee brengen.
Waarom PRM?
PRM is de strengste vorm van PAM. Door op autorisatieniveau risicovolle rechten uit te geven en in te trekken, wordt verzekerd dat alleen díe specifieke rechten beschikbaar zijn die nodig zijn voor de taak. Zodra deze reden niet meer actueel is, wordt deze rechten weer ingetrokken.
Het grootste voordeel is dat alleen de rechten worden uitgegeven die werkelijk nodig zijn. De kans op vergissingen en misbruik wordt dus aanzienlijk beperkt. Een nadeel is dat PRM vergt dat je precies weet welke rechten waarvoor nodig zijn en dat er een administratieve organisatie is die snel en accuraat deze rechten kan uitgeven en intrekken. Met name in geval van verstoringen en calamiteiten kan zo’n werkwijze de snelheid van handelen negatief beïnvloeden.
Wanneer PIM?
PIM biedt een lager veiligheidsniveau, maar een hogere snelheid. Door risicovolle rechten te bundelen in een Privileged Identitiy kan, in plaats van voor elke taak te bepalen welke rechten nodig zijn, voor veel voorkomende taken een Privileged Identity worden ingericht. Hierdoor is het makkelijker te bepalen welke toegang een persoon nodig heeft voor het uitvoeren van zijn taak, omdat de keuze kleiner is. Een voorbeeld is een PI met alle rechten die nodig zijn voor het upgraden van een bepaalde omgeving.
PI’s moeten altijd functioneel zijn, persoonlijke PI’s moeten vermeden worden. Het heeft namelijk geen enkele toegevoegde waarde om identiteiten met een hoge privileges permanent aan één persoon te koppelen. Het resultaat van zo’n werkwijze is dat elke beheerder een eigen persoonlijk PI heeft waaraan een heel diverse set aan rechten is toegekend, waarvan een deel ‘omdat zij dat een keertje nodig had’. Het bewaken en beheren van deze persoonlijke PI’s is een onnodig zware belasting voor de administratieve organisatie en risicovolle combinaties zijn niet uitgesloten.
En PUM dan?
Om te voorkomen dat onschuldige rechten zich opstapelen tot een risicovolle combinatie, moet de organisatie inzichtelijk krijgen welke combinaties problemen kunnen veroorzaken, en welke tegenmaatregelen van toepassing zijn. Dergelijke controles en analyses komen voort uit het reguliere Identity Management-proces. Regels voor functiescheiding en de risico-inschatting van bepaalde ‘gewone’ rechten worden daarin vastgelegd, zodat de informatie in het IAM-systeem kan worden geanalyseerd en deze PU’s in zicht komen. Wat en of daar iets mee gedaan wordt, is een menselijke beslissing en zal per situatie verschillen.
Tot slot
Zoals bij elk IT-project is het van belang om vooraf goed te definiëren wat de organisatie wil bereiken. En waar haar risico’s liggen. Met dat helder in beeld kan gekeken worden wat er aan PAM gedaan dient te worden. En of dat vervolgens met PUM, PIM of PRM wordt gerealiseerd. Pas daarna is het zinvol om te gaan kijken welke hulpmiddelen de organisatie ervoor nodig heeft; de meeste PAM-oplossingen die aangeboden worden richten zich bijvoorbeeld uitsluitend op PRM en/of PIM, en niet op PUM, terwijl de meeste bedrijfsrisico’s eerder bij de nietsvermoedende PU’s liggen dan bij de veiligheidsbewuste, goed opgeleide IT-beheerders die gebruik maken van PI’s en PR’s.
Steven van der Linden, adviseur informatieveiligheid bij Capitar IT Group
